L’universo Android si trova di fronte a una nuova minaccia che sta facendo tremare l’intero settore della sicurezza mobile. Si tratta di Konfety, un malware sofisticato che si diffonde camuffandosi da app legittima. Inoltre, impiega una serie di strategie avanzate per evitare qualsiasi forma di rilevamento. Il livello di inganno raggiunto è tale da confondere non solo gli utenti, ma anche i software usati dagli stessi analisti per smascherare tale tipo di attacchi. Konfety si presenta come un’app identica a quelle disponibili ufficialmente sul Play Store. Il malware, infatti, ne copia nome, icona e persino l’aspetto dell’interfaccia. Tale metodo, conosciuto come “evil twin“, punta a sfruttare l’abitudine di molti utenti a cercare versioni modificate o gratuite di applicazioni popolari. Chi cade nella trappola, installando il file APK alterato, apre la porta a un software dannoso che inizia immediatamente a operare nel silenzio più assoluto.
Nuova minaccia sui dispositivi Android: ecco i dettagli
Ciò che rende Konfety particolarmente difficile da analizzare è l’impiego di un modulo cifrato interno. Un file DEX non immediatamente accessibile, che contiene il centro del codice pericoloso. Tale file viene caricato solo durante l’esecuzione dell’app, rendendo vano il tentativo di intercettare il malware con una semplice analisi statica. Inoltre, la presenza di funzionalità di geolocalizzazione permette al malware di adattare il suo comportamento in base all’area geografica.
Konfety esegue una serie di attività malevoli. Mostra pubblicità che l’utente non vede, ma che generano guadagni per gli autori. Crea finte notifiche dal browser, avvia download di applicazioni indesiderate e conduce verso pagine web pericolose. Nel frattempo, raccoglie dati personali e tecnici dal dispositivo. E non è tutto. Il malware interviene anche manipolando l’archivio ZIP dell’APK con flag che fanno apparire i file come cifrati. Confondendo così gli strumenti di analisi. Inoltre, può usare anche algoritmi di compressione poco comuni per causare errori nei software più utilizzati dagli esperti.
Per difendersi da minacce simili, è fondamentale non installare mai app provenienti da fonti sconosciute. Meglio affidarsi solo ai canali ufficiali, dove i controlli sono più rigorosi e i pericoli, anche se presenti, più contenuti.
